Identificirana je ranjivost u kriptografskoj biblioteci OpenSSL (CVE još nije dodijeljen) preko koje udaljeni napadač može oštetiti sadržaj memorije procesa slanjem posebno dizajniranih podataka u trenutku uspostavljanja TLS veze. Još nije jasno može li problem dovesti do izvršavanja koda napadača i curenja podataka iz procesne memorije ili je ograničen na rušenje.
Ranjivost se pojavljuje u izdanju OpenSSL 3.0.4, objavljenom 21. lipnja, a uzrokovana je netočnim popravkom greške u kodu koja bi mogla rezultirati prepisivanjem ili čitanjem do 8192 bajta podataka izvan dodijeljenog međuspremnika. Iskorištavanje ranjivosti moguće je samo na x86_64 sustavima s podrškom za AVX512 upute.
Problem ne utječe na forkove OpenSSL-a kao što su BoringSSL i LibreSSL, kao ni na granu OpenSSL 1.1.1. Popravak je trenutno dostupan samo kao zakrpa. U najgorem slučaju, problem bi mogao biti opasniji od ranjivosti Heartbleed, ali je razina prijetnje smanjena činjenicom da se ranjivost pojavljuje samo u izdanju OpenSSL 3.0.4, dok mnoge distribucije nastavljaju isporučivati 1.1.1 ogranak prema zadanim postavkama ili još nisu imali vremena izgraditi ažuriranja paketa s verzijom 3.0.4.
Izvor: opennet.ru